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PROCEDE DE SECURISATION D'UN ENSEMBLE ELECTRONIQUE DE 
CRYPTOGRAPH1E A CLE SECRETE 



La presente invention conceme un procede de securisation 
d'un ensemble electronique mettant en oeuvre un algorithme 
cryptographique qui utilise une cle secrete. Plus precisement, le procede 
vise a realiser une version de I'algorithme qui ne soit pas vulnerable face a 
un certain type d'attaques physiques - dites High-Order Differential Power 
Analysis - qui cherchent a obtenir des informations sur la cle secrete a partir 
de I'etude de la consommation electrique de I'ensemble electronique au 
cours de I'execution du calcul. 

DOMAINE TECHNIQUE i 

Les algorithmes cryptographiques considers ici utilisent une 
cle secrete pour calculer une information de sortie en fonction d'une 
information d'entree ; il peut s'agir d'une operation de chiffrement, de 
dechiffrement ou de signature ou de verification de signature, ou 
d'authentification ou de non-repudiation, lis sont construits de maniere a c'e 
qu'un attaquant, connaissant les entrees et les sorties, ne puisse en pratique 
deduire aucune information sur la cle secrete elle-meme. 

On s'interesse done a une classe plus large que celle 
traditionnellement designee par I'expression algorithmes a cl4 secrete ou 
algorithmes sym&riques. En particulier, tout ce qui est decrit dans la 
presente demande de brevet s'applique egalement aux algorithmes dits a cle 
publique ou algorithmes asymetriques, qui comportent en fait deux cles : 
Tune publique, et I'autre, privee, non divulguee, cette derniere etant celle 
visee par les attaques d^crites ci-dessous. 

Les attaques de type Analyse de Puissance Electrique, Power 
Analysis en langage anglo-saxon, partent de la constatation qu'en realite 
I'attaquant peut acquerir des informations, autres que la simple donnee des 
entries et des sorties, lors de I'execution du calcul, comme par exemple la 
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consommation electrique du microcontroleur ou le rayonnement 
electromagnetique emis par le circuit. 

L'analyse de consommation electrique differentielle constitue le 
principe d'une classe d'attaques, dites Differential Power Analysis en 
5 langage anglo-saxon, en abrege DPA, permettant d'obtenir des informations 
sur la cle secrete contenue dans I'ensemble electronique, en effectuant une 
analyse statistique des enregistrements de consommation electrique 
effectues sur un grand nombre de calculs avec cette meme cle. 

Dans la plus simple de ces attaques, dite « DPA d'ordre 1 » ou 

10 simplement « DPA » quand il n'y a pas de risque de confusion, I'attaquant 
enregistre les signaux de consommation de courant et calcule des proprietes 
statistiques individuelles du signal a chaque instant. On considere ici les 
attaques dites Analyse de consommation electrique differentielle d'ordre 
superieur, High-Order Differential Power Analysis en langage anglo-saxon, 

15 en abrege HO-DPA, qui generalised I'attaque « DPA d'ordre 1 » : I'attaquant 
calcule maintenant des proprietes statistiques conjointe de la consommation 
electrique consideree a plusieurs instants differents. Plus precisement une 
attaque « DPA d'ordre n » prend en compte n valeurs du signal de 
consommation, qui correspondent a n valeurs intermediaires differentes 

20 apparaissant au cours du calcul de I'algorithme cryptographique. Les valeurs 
intermediaires detectees par les attaques seront appelees dans ce qui suit, 
informations critiques. 

On considere, a. titre d'exemple non limitatif, le cas de 
I'algorithme DES (Data Encryption Standard), dont on peut trouver une 

25 description dans FIPS PUB 46-2, Data Encryption Standard, 1994, 
document indique a titre de reference. 

L'algorithme DES se deroule en 16 etapes appelees tours (voir 
figure 2). Dans chacun des 16 tours, une transformation f est effectuee sur 
32 bits. Cette transformation f utilise huit transformations non lineaires de 6 

30 bits sur 4 bits, qui sont codees chacune dans une table appelee boite-S (S 
sur la figure 2). 

Une attaque « DPA d'ordre 2 » sur le DES peut etre mise en 



oeuvre de la maniere suivante : 

Dans une premiere etape, on fait des mesures de consommation sur 
le premier tour, ceci pour 1000 calcuis de DES. On note E[1], .... E[1000] les 

valeurs d'entree de ces 1000 calculs. On note C[1] C[1000] les 1000 

courbes correspondantes de consommation electrique mesurees lors de ces 
calculs. 

Dans une deuxieme etape, supposons que deux bits (constituant 
des informations critiques), de valeurs respectives bi et b 2 , apparaissent au 
cours du calcul et sont tels que b, ® b 2 soit egal a la valeur b du premier bit 
de sortie de la premiere boite-S lors du premier tour, lei © designe la 
fonction ,, OU-exclusif n bit a bit. On fait une hypothese sur I'intervalle de 
temps 5 entre I'instant ou se trouve le point de la courbe de consommation 
correspondant a bi et celui correspondant a b 2 . On associe alors a chaque 
courbe C[i], ou i est un entier prenant successivement les valeursU, 2, 
1000, une autre courbe C 8 [i], Sgale a la difference entre C[i] et la courbe 
obtenue a partir de C[i] par translation d'une valeur 5 suivant I'axe des 
abscisses. On calcule egalement la courbe moyenne CM des 1000 courbes 

v 

C s [i]. 

Dans une troisieme etape, il est facile de voir que b ne depend que 
de 6 bits de la cle secrete. L'attaquant fait une hypothese sur les 6 bits 
concernes. II calcule - a partir de ces 6 bits et des E[i] - les valeurs 
theoriques attendues pour b. Cela permet de separer les 1000 entrees E[1], 
E[1000] en deux categories : celles qui donnent b=0, et celles qui 
donnent b=1 . 

Dans une quatrieme etape, on calcule maintenant la moyenne CM' 
(respectivement CM") des courbes C 6 [i] correspondant a des entrees de la 
premiere categorie (respectivement de la deuxieme categorie), e'est-a-dire 
pour lesquelles b=0 (respectivement b=1). Si CM' et CM" presentent une 
difference notable, on considere que les valeurs retenues pour les 6 bits de 
cle, ainsi que le choix de la valeur 8 etaient les bons. Si CM* et CM" ne 
presentent pas de difference sensible, au sens statistique, e'est-a-dire pas 



de difference nettement superieure a I'ecart type du bruit mesure, on 
recommence la 2eme etape avec un autre choix pour les 6 bits. Si aucun 
choix des 6 bits de cle n'est concluant, on recommence les etapes 3 et 4 
avec un autre choix de 6. 
5 Dans une cinquieme etape, on repete les etapes 2, 3 et 4 avec deux 

bits dont le « ou-exclusif » est issu de la deuxieme bofte-S, puis de la 

troisieme boite-S jusqu'a la huitieme botte-S. On obtient done finalement 

48 bits de la cle secrete. 

Dans une sixieme etape, les 8 bits restants peuvent etre trouves par 

10 recherche exhaustive. 

En theorie, la DPA d'ordre n ne necessite aucune 
connaissance sur la consommation electrique individuelle de chaque 
instruction, ni sur la position dans le temps de chacune de ces instructions. 
Elle s'applique de la meme maniere si on suppose que I'attaquant connaTt 

15 des sorties de I'algorithme et les courbes de consommation 
correspondantes. Elle repose uniquement sur I'hypothese fondamentale 
selon laquelle : 

II existe un ensemble de n variables intermediates, apparaissant 

dans le cours du calcul de I'algorithme, telle que la connaissance de 
20 quelques bits de cle, en pratique moins de 32 bits, permet de decider si deux 

entrees, respectivement deux sorties, donnent ou non la meme valeur pour 

une fonction connue de ces n variables. 

Tous les algorithmes utilisant des boTtes-S, tels le DES, sont 

potentiellement vulnerables a la « High Order DPA », car les modes de 
25 realisation usuels, y compris ceux concus pour resister aux attaques « DPA 

d'ordre 1 », restent en general dans le cadre de I'hypothese mentionnee ci- 

dessus. 

En pratique, la mise en place necessite egalement de trouver 
(par recherche exhaustive ou par la connaissance d'autres informations, par 
30 exemple le detail de ('implementation de I'algorithme cryptographique) les 
intervalles de temps entre les points de la courbe de consommation 
correspondant aux n variables considerees. 



Un but de la presente invention est de supprimer des risques 
d'attaques « DPA d'ordre n », pour toutes ies valeurs de n, d'ensembles ou 
systemes electroniques de cryptographie a cle secrete ou privee. 

Un autre but de la presente invention est d'offrir une protection 
des systemes electroniques de cryptographie telle que I'hypothese 
fondamentale precitee ne soit plus verifiee, a savoir qu'aucune fonction 
connue d'un ensemble de n variables intermediaires ne depende de la 
connaissance d'un sous-ensemble aisement accessible de la cle secrete ou 
privee, Ies attaques de « High Order DPA » etant ainsi rendues inoperantes. 

RESUME DE L' INVENTION 

La presente invention concerne un procede de securisation 
d'un systeme electronique comprenant un processeur et une memoire, 
mettant en oeuvre un processus de calcul cryptographique stocke dans la 
memoire qui utilise une cle secrete caracterise en ce qu'il consiste .a 
masquer des resultats intermediaires en entree ou en sortie d'au moins une 
fonction critique dudit processus execute au moyen du processeur. / 

V'- : 

DESCRIPTION SOWIWIAIRE DES DESSINS 

D'autres buts, avantages et caracteristiques de I'invention 
apparaitront a la lecture de la description qui va suivre de la mise en oeuvre 
du procede selon I'invention et d'un mode de realisation d'un systeme 
electronique adapte pour cette mise en oeuvre, dorines a titre d'exemple non 
limitatif en reference aux dessins ci-annexes dans lesquels: 

Ies figures 1a et 1b montrent une representation schematique 
de deux types de fonction de remplacement du procede selon la preeente 
invention ; 

la figure 2 montre une representation schematique d'un tour de 
I'algorithme DES classique ; 




les figures 3a a 3e montrent une representation schematique 
de chaque type de tour possible de Palgorithrne DES auquel le precede 
selon Tinvention est applique ; 

la figure 4 est une representation symbolique sous forme d'un 
5 automate de Talgorithme DES auquel le procede selon ('invention est 
applique. 

MANIERE DE REALISER L'INVENTION 

10 Le procede selon Tinvention vise a securiser un systeme 

electronique, et par exemple un systeme embarque tel qu'une carte a puce 
mettant en oeuvre un processus de calcul cryptographique qui utilise une cle 
secrete. Le systeme electronique comprend un processeur et une memoire. 
Le processus de calcul cryptographique est installe dans la memoire, par 

15 exemple de type ROM dudit systeme. Le processeur dudit systeme execute 
le processus de calcul en utilisant une cle secrete, stockee dans une zone 
secrete d'une memoire, par exemple de type E2PROM. 

Le procede selon Tinvention consiste a masquer des resultats 
20 intermediates constituant des informations critiques obtenues lors du 
processus de calcul en entree ou en sortie d'une fonction, appelee ci-apres 
fonction critique. 

Le procede remplace une fonction critique par une fonction de 
25 remplacement qui effectue le « meme » calcul mais sur des donnees 
modifiees en entree ou en sortie. 

Gomme montre sur les figures 1a et 1b, toute fonction f de n bits 
vers m bits effectuant un calcul (calcul par une succession d'operations de 
30 base, par la consultation d'une table ...) est remplacee par une nouvelle 
fonction p qui sera la composee de f avec une autre fonction g (de n' bits 
vers n bits) (figure 1a) ou h (de m bits vers m' bits)(figure 1b), g etant 




effectuee avant f et h apres ; le procede remplace done dans le calcul f par ( 
g -> f) ou par (f-> h ). 

Selon un exemple illustratif, g et h sont des operations de masquage 
5 de donnees de la forme « ou exclusif ». La fonction p prend en entree des 
donnees masquees par g ou ressort en sortie des donnees masquees par h. 

Le terme « masquer » dans la presente description signifie 
transformer par une fonction non publique (interne, inconnue de I'utilisateur 
10 de la carte), par exemple une fonction utilisant un alea. 

Le masquage d'une premiere fonction critique d'un processus de 
calcul a lieu en sortie par une fonction h ; le masquage d'une derniere 
fonction critique d'un processus de calcul a lieu en entree par une fonction g. 

15 De cette maniere, le processus de calcul recoit en entree et donne.en sortie 
des donnees non masquees : le masquage est transparent pour I'exterieur. 
Une personne souhaitant effectuer une attaque de type DPA sur le .systeme 
ne sait pas que les resultats intermediates constituant des informations 
detectables sont masquees et ne pourra tirer aucune conclusion. de ses 

20 resultats sans en comprendre la raison. 

On notera bien, que la taille des donnees en entree de g (et des 
donnees en sortie de h) ne seront pas forcement de la meme taille que 
celles de f. 

25 

L'invention presente deux aspects : la transformation du processus 
de calcul lui-meme (comment faire pour lui inclure une fonction modifiee) 
ainsi que le mode de calcul de la fonction modifiee (par exemple la methode 
pour construire la nouvelle table s'il s'agissait a la base d'un acces a une 
30 table). 
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La description qui suit decrit une application de la presente invention 
a ralgorithme DES. Dans un premier temps, un premier exemple simplifie 
mais facilement comprehensible est presente pour permettre dans un 
deuxieme temps d'etudier divers developpements qui decoulent directement 
de ce premier exemple. 

Le procede selon la presente invention resoud deux problemes de 
maniere independante : 

comment s'articule le DES utilisant des S-boites modifiees, et 
la construction de ces S-boites. 

L'articulation du DES en utilisant des boftes-S modifies dans un 
premier exemple simplifie est decrit dans ce qui suit par reference aux 
figures 2, 3a a 3e et 4. 

On considere tout d'abord le i 6me tour du DES (figure 2). Les S-boites 
du DES classique sont modifiees afin de manipuler des donnees masquees. 
On considere alors a une valeur quelconque de 32 bits. On definit deux 
nouveiles fonctions S'i et S' 2 de 48 bits vers 32 bits par : 

S'i(x) = S(xxorE(a)) pour tout x sur 32 bits 
S' 2 (x) = S(x) xor P* 1 (a) pour tout x sur 32 bits 

On definit alors deux fonctions f 1<Ki et V 2 ,ki analogues a la fonction f Ki 
mais utilisant les boites S'i et S' 2 en lieu et place de S. 

Les deux nouveiles fonctions permettent pour f 1|K i d'obtenir une 
valeur masquee par a a partir d'une valeur non masquee et inversement 
pour f 2 ,K|. 

Les figures 3a a 3e represente I'ensemble des schemas de tour de 
DES (A a E) obtenus en utilisant des valeurs masquees ou non par a et les 
differentes boites (S K( , S' 1iK i ou S'o.ki). Par soucis de clarte, les donnees 




masquees sont indiquees en traits pointilles alors que les donnees non 
masquees (normale) sont en traits pleins. 

La figure 4 represente I'ensemble des enchaTnements de tours 
susceptibles d'etre obtenus symbolise sous la forme d'un automate. Comme 
indique precedemment, pour partir et arriver a des donnees non masquees, 
les etats de commencement sont A ou B alors que ceux de terminaisons 
sont A ou E. 

Ainsi, il est possible d'effectuer un DES entier (a 16 tours) par 
I'enchamement : IP - BCDCDCEBCDCDCDCE - IP" 1 . A partir d'un message 
M, le procede permet d'obtenir un chiffre habituel (celui qui aurait 6te obtenu 
avec I'enchainement IP - AAAAAAAAAAAAAAAA - IP" 1 ), a savoir sans 
demasquage a l'entr§e et en sortie. 

II existe de nombreuses combinaisons valides ; certaines permettent 
meme de ne masquer que les premiers et les derniers tours en utilisant des 
tours normaux (de type A) entre ces tours masques ; comme pan exemple : 
I P - BCEAAAAAAAAAABCE - IP" 1 . » 

Selon un developpement de I'invention, les donnees sont masquees 
avec des masques differents suivant les tours. En prenant les notations de 
tours adoptes ci-dessus (A,B,C,D et E), on ajoute un index (a.p.y ...) qui 
symbolise le masque de 32 bits utilise pour le masquage. Ainsi on voit que le 
tour B de I'exemple simplifie ci-dessus s'ecrit a present B a . II est a noter que 
le tour A n'a pas besoin d'etre indexe par une valeur de masque car le 
masque n'intervient pas. Dans cet exemple de generalisation, un DES 
s'effectue selon TenchaTnement suivant : 

IP - BaCaDaCaDaCaEaBpCpDpCpDpCpDpCpEp - IP" 1 

De cette maniere, les tours, et particulierement les premiers et le 
dernier sensible aux attaques, sont proteges par des masques 
ind^pendants. 
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Pour effectuer les calculs precites, il est necessaire de construire 
des S-Boites de type S, S'i, a , S* 2 . a .S'l p et S' 2 ,p . 

Les differentes S-Boites modifiees utilisees par le procede selon la 
5 presente invention sont constitutes de maniere securisee sur la base des 
formules suivantes : 



Lesdites formules se decomposer^ suivant les operations de bases 
enoncees ci-apres : 

15 

Tirer une valeur aleatoire (comme a, p ...) ; 
Permuter les bits d'une valeur secrete (comme E(a), P" 1 (p) ...) ; 
Effectuer le XOR d'une valeur (comme P" 1 (cc) par exemple) avec un 
tableau de valeur correspondant aux valeurs habituelles de la S-Boite (en 
20 entree ou en sortie). 

Le tirage d'une valeur aleatoire de n bits (dans le cas du DES, n = 
32) s'effectuent sur la base de Palgorithme suivant. 

25 Le systeme dans lequel le procede est mis en ceuvre comprend un 

tableau « t » de n octets ainsi qu'une source d'aleas sur un octet notee 
« rand ». L'algorithme se deroule de la maniere suivante : 

Pour i allant de 0 a n-1 : t[i] := rand % 2 
30 Pour i allant de 0 a m-1 : echanger tfrand % n] et t[rand % n] 
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S'i. a (x) 
S*i.p (x) 
S' 2 .a(x) 
S' 2iP (x) 



S(x xor E(a)) 
S(x xor E(P)) 
S(x) xor P" 1 (a) 
S(x) xor P' 1 (P) 



Ou m est un nombre a priori superieur ou egal a n. 



« % » represente I'operation modulo ou reste de la division entiere. 

Le resultat cherche est la concatenation des n bits contenus dans le 
tableau t. 

5 

Selon une premiere variante, le systeme comprend un tableau t de n 
/ 4 octets. 

Pour i allant de 0 a n/4 -1 : t[i] := rand 
10 Pour i allant de 0 a m : Echanger t[rand % (n/4)] et t[rand % (n/4)] 

OD m sera a priori superieur a n/4. 

Le resultat est la concatenation des quatre premiers bits de chacun 
15 des n/4 octets de t. 

Selon une deuxieme variante, on reprend l'algorithme selon la 
premiere variante en utilisant n/2, n/3, n/8 ou tout diviseur de n. 

?• 

20 Selon une troisieme variante, au lieu d'echanger des cases de 

maniere aleatoire, on choisit une case aleatoirement et on lui ajoute par 
I'operation XOR une valeur aleatoire. 

La permutation de n bits d'une valeur secrete vers m bits (dans le 
25 cas du DES : dans la permutation P" 1 (P) : n = 48 et m = 32, dans la 
permutation E(a) : n = m = 32) se base sur l*algorithme suivant. 

Dans I'exemple decrit, on souhaite permuter un tableau note « in » 
de n bits vers un tableau note « m » de m bits ; le systeme comprend un 
30 tableau « temp » de m valeurs (chaque case pouvant contenir la valeur n-1). 

On constant dans le tableau temp une permutation des nombres 



0,1,2, ... , m-2, m-1 

Pour i allant de 0 a m-1 : out[ V[ temp[i] ] ] := in [ temp[i] ] 

En fait, il s'agit d'effectuer une permutation de maniere aleatoire bit 

5 par bit. 

Selon une premiere variante, la permutation est r^alisee non pas bit 
par bit mais k bits par k bits, le tout de maniere aleatoire. 

10 Selon une deuxieme variante, on peut egalement ajouter a cela des 

valeurs fictives dans la table V, et/ou dans la table d'entr^e et/ou de sortie. 
Ainsi si Con utilise des octets pour stocker un bit, on peut completer les 
autres bits « vacants » avec de I'aleas. 

15 La realisation de Toperation XOR consiste a ajouter une valeur 

(comme P~ 1 (a)) de n bits a un tableau t de m valeurs. 

Uop6ration peut etre effectuee de maniere aleatoire sur les octets du 
tableau de sortie ainsi que sur les bits de ces octets. 

20 

Selon une variante, on peut egalement ajouter des valeurs fictives 
tant dans les bits de a que dans le tableau t. 

Le procede selon Tinvention utilise une fonction non publique de 
25 masquage lors de la construction des boites-S sans faire intervenir la cle. 
Lorsque le processus de calcul se deroule, aucun masque n'intervient. Ainsi, 
le procede selon Tinvention permet de securiser le systeme electronique 
contre toute attaque utilisant le masque meme sans le connaitre. 

30 

II est a souligner que tout autre type de tirage et de permutation 
peuvent etre utilises pour la construction des boites-S modifies. 
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De plus, la construction des boTtes-S bashes sur les trois 
operations decrites peut etre realisee sous tout autre type de forme et en 
particuiier sous une autre forme qu'une boTte-S propre au DES utilise 
5 comme exemple dans la presente description. 



10 
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REVENDICATIONS 

1- Procede de securisation d'un systeme electronique mettant en 
oeuvre un processus de calcul cryptographique qui utilise une cle secrete 

5 caracterise en ce qu'il consiste a masquer des resultats intermediates en 
entree ou en sortie d'au moins une fonction critique dudit processus. 

2- Procede selon la revendication 1, caracterise en ce qu'il comprend 
une fonction de remplacement d'une fonction critique dudit processus 

10 effectuant le meme calcul mais sur des resultats masques en entree ou en 
sortie. 



3- Procede selon Tune des revendications 1 ou 2, caracterise en ce 
qu'il consiste a enchamer des fonctions de remplacement de maniere a 

15 fournir des resultats non masques a I'entree et en sortie dudit processus. 

4- Procede selon Tune des revendications 1 a 3, caracterise en ce 
qu'il consiste a utiliser des masques differents suivant les fonctions critiques 
concernees. 

20 

5- Proced6 selon la revendication 2, caracterise en ce que la fonction 
de remplacement sur des resultats masques en entree est construite sur la 
base des operations suivantes : 

• une operation de masquage non publique ; 
25 a une operation effectuant le meme calcul que la fonction 

critique mais sur des resultats masques par la fonction de 
masquage. 

6- Procede selon la revendication 2, caracterise en ce que la fonction 
30 de remplacement sur des donnees masquees en sortie est construite sur la 

base des operations suivantes ; 

o une operation effectuant le meme calcul que la fonction 
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critique mais sur des resultats qui doivent etre masquees par 
la fonction de masquage. 
o une fonction de masquage non publique. 

5 7-Procede selon Tune des revendications 5 ou 6, caracterise en ce 

qu'il consiste h enchamer les operations de la fonction de masquage de 
maniere aleatoire. 

8-Systeme electronique comprenant des moyens de memorisation 
10 d'un processus de calcul cryptographique qui utilise une cle secrete, des 
moyens d'ex6cuter ledit processus de calcul caracterise en ce qu'il 
comprend des moyens de masquage de resultats intermediates en entree 
ou en sortie d'au moins une fonction critique dudit processus. : * 

15 9-Systeme Electronique selon la revendication 8, caract6ris6 en ce 

que les moyens de masquage des resultats intermediates et de calcul selon 
la fonction critique mais avec lesdits resultats masques sont constitues par 
une boite-S. 
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